Ciao ragazzi

avrei una domanda un po' diversa dalle solite che immagino compaiano in questo forum.

Avrei bisogno di alcune idee per un progetto per l'università di circa una settimana (quindi niente interminabili data collection etc) sul tema "intrusioni di rete"

Che sia in termini di rilevazione, di risposta, di prevenzione, non importa. Vorrei qualche suggerimento, qualche tool un po' diverso dal solito, o qualche analisi interessante da fare in merito.

Niente roba trita o ritrita come snort, pf, iptables e via dicendo. Qualcosa di cui si possa parlare senza ripetere cose che altri 100mila hanno già ripetuto fino alla nausea.

Che dite, nessuna idea?

Ciao ragazzi

avrei una domanda un po' diversa dalle solite che immagino compaiano in questo forum.

Avrei bisogno di alcune idee per un progetto per l'università di circa una settimana (quindi niente interminabili data collection etc) sul tema "intrusioni di rete"

Che sia in termini di rilevazione, di risposta, di prevenzione, non importa. Vorrei qualche suggerimento, qualche tool un po' diverso dal solito, o qualche analisi interessante da fare in merito.

Niente roba trita o ritrita come snort, pf, iptables e via dicendo. Qualcosa di cui si possa parlare senza ripetere cose che altri 100mila hanno già ripetuto fino alla nausea.

Che dite, nessuna idea?

Hai mai provato tripwire?

Hai mai provato tripwire?

no, ma con una rapida ricerca vedo che è un HIDS in versione sia commerciale che open.

Che mi farebbe fare di carino? Non si limita a monitorare il comportamento del sistema locale e fare reporting sulle anomalie?

no, ma con una rapida ricerca vedo che è un HIDS in versione sia commerciale che open.

Che mi farebbe fare di carino? Non si limita a monitorare il comportamento del sistema locale e fare reporting sulle anomalie?

In parole povere: scatta una "foto" del sistema (al primo avvio del programma) e se qualche file "sensibile" risulta modificato (durante le scansioni successive), attiva uno o più warning. Tu ben sai, quindi, che risulta molto utile in ambienti in cui l'integrità dei file deve essere garantita, vedi i server di log.

Un consiglio: potresti concentrare la tua ricerca su applicativi (basati sulle classiche Regex) che consentono di applicare dei filtri ai file di log (ad esempio quelli relativi agli IDS), riducendo notevolmente la base rate fallacy.
PS: vedi swatch :D

In parole povere: scatta una "foto" del sistema (al primo avvio del programma) e se qualche file "sensibile" risulta modificato (durante le scansioni successive), attiva uno o più warning. Tu ben sai, quindi, che risulta molto utile in ambienti in cui l'integrità dei file deve essere garantita, vedi i server di log.

si, a livello organizzativo è sicuramente molto importante sia come strumento che come concetto di auditing.

Ma per un progetto universitario, che tipo di applicabilità potrebbe avere al di là della sua configurazione?
cercavo forse qualcosa di più orientato alla rete, hai suggerimenti in questo senso? anche di un eventuale interfacciamento di tripwire?

si, a livello organizzativo è sicuramente molto importante sia come strumento che come concetto di auditing.

Ma per un progetto universitario, che tipo di applicabilità potrebbe avere al di là della sua configurazione?
cercavo forse qualcosa di più orientato alla rete, hai suggerimenti in questo senso? anche di un eventuale interfacciamento di tripwire?

Onestamente non conosco interfacce dedicate a tripwire (cerca su google, magari ne trovi qualcuna). Se cerchi qualcosa di più orientato alla rete, potresti esporre, ad esempio, tutta una serie di attacchi (e relativi rimedi) volti a bypassare i captive portal (vedi DNS tunneling). Oppure, come detto nel post precedente, concentrati sulla base rate fallacy (che è un problema non indifferente).

Onestamente non conosco interfacce dedicate a tripwire (cerca su google, magari ne trovi qualcuna). Se cerchi qualcosa di più orientato alla rete, potresti esporre, ad esempio, tutta una serie di attacchi (e relativi rimedi) volti a bypassare i captive portal (vedi DNS tunneling). Oppure, come detto nel post precedente, concentrati sulla base rate fallacy (che è un problema non indifferente).

molto molto interessante!! evasione captive portal e regex per log analysis, ottimi spunti! grazie!

molto molto interessante!! evasione captive portal e regex per log analysis, ottimi spunti! grazie!

Figurati, sono davvero contento di vedere qualcuno che, per hobby o per studio (come nel tuo caso) si interessa all'ambito della sicurezza informatica.